Zo informeert u slachtoffers over een datalek

Is er in uw eigen organisatie een datalek? Of heeft u ergens anders in uw omgeving een datalek gesignaleerd en wilt u de AP hierover een tip geven?

Direct een datalek melden of datalektip geven

Ieder datalek is anders en vraagt om een andere aanpak. Op deze pagina vindt u 8 aanbevelingen met voorbeeldteksten. Deze helpen u op weg.

Let op: Het is uw verantwoordelijkheid om een duidelijk waarschuwingsbericht op te stellen. En om het bericht af te stemmen op uw specifieke situatie. U bent dit ook wettelijk verplicht.

Waarom is een duidelijk waarschuwingsbericht belangrijk?

Een datalek kan heel schadelijke gevolgen hebben voor de mensen van wie de gegevens zijn:

• Zijn er contactgegevens gelekt? Dan zijn slachtoffers kwetsbaar voor phishing. Een phishingbericht lijkt van uw organisatie afkomstig, maar is een poging van criminelen om uw klanten of contacten op te lichten.
• Zijn er wachtwoorden gelekt? Dan kunnen criminelen niet alleen inloggen op de accounts van slachtoffers, maar ook op andere websites als mensen daar hetzelfde wachtwoord gebruiken.
• Zijn er kopieën van identiteitsbewijzen gelekt? Dan kan iemand te maken krijgen met identiteitsfraude. Jaarlijks ontvangt het Centraal Meldpunt Identiteitsfraude (CMI) zo’n 7.000 meldingen van identiteitsfraude.

Toezicht AP op waarschuwingsberichten

Om dit soort schadelijke gevolgen te voorkomen, is het heel belangrijk dat u de slachtoffers van een datalek goed informeert. Doet u dat niet? Dan kan dat ook uw organisatie flinke (reputatie)schade opleveren. Bovendien controleert de Autoriteit Persoonsgegevens (AP) regelmatig of en hoe organisaties slachtoffers informeren.

8 aanbevelingen voor goede waarschuwingsberichten

Wilt u een goed waarschuwingsbericht versturen, let dan op deze 8 punten:

1. Communiceer zo snel mogelijk met de slachtoffers
2. Schrijf een simpele en heldere tekst
3. Beschrijf duidelijk en volledig wat er is gebeurd
4. Geef duidelijk aan welke gegevens zijn gelekt
5. Noem de waarschijnlijke gevolgen voor slachtoffers
6. Geef waar mogelijk een specifiek advies aan slachtoffers
7. Beschrijf welke maatregelen uw organisatie neemt
8. Noem een contactpunt waar slachtoffers terechtkunnen met vragen

Hierna vindt u uitleg en voorbeelden.

1. Communiceer zo snel mogelijk met de slachtoffers

Laat slachtoffers zonder onnodige vertraging weten wat er is gebeurd. Als iemands gegevens zijn gelekt, kunnen die snel in verkeerde handen komen. Voorkom vervelende gevolgen als oplichtingen breng slachtoffers zo snel mogelijk op de hoogte. Alleen dan kunnen zij ook zelf actie ondernemen.

Bent u het datalek nog aan het onderzoeken? En heeft u daardoor nog niet alle informatie? Stuur dan eerst een voorlopig waarschuwingsbericht. Slachtoffers weten dan dat er iets is gebeurd en kunnen alert zijn op misbruik van hun gegevens. Zodra u meer weet over het datalek, informeert u hen verder.

2. Schrijf een simpele en heldere tekst

Zorg dat het waarschuwingsbericht begrijpelijk is voor iedereen. Gebruik bijvoorbeeld:

• zinnen van gemiddeld 10 woorden en maximaal 15 woorden;
• weinig moeilijke woorden, en leg moeilijke woorden die u niet kunt vermijden uit;
• duidelijke tussenkoppen;
• genoeg witruimte;
• opsommingen in plaats van lange zinnen;
• de taal van het land waar de slachtoffers wonen.

Vermijd vaktaal en geef direct de belangrijkste informatie in een duidelijk intro. Vertel meteen dat er een datalek is geweest. En dat de persoonsgegevens van de lezer zijn getroffen.

Deel een lange zin bijvoorbeeld op in meerdere zinnen.

Fout:

Op 21 juni heeft er een datalek plaatsgevonden bij ons dat het gevolg was van een ransomware-aanval en waarbij een aantal van uw gegevens, namelijk uw naam, e-mailadres en woonadres, zijn gelekt.

Goed:

Op 21 juni was er een datalek bij [naam van uw organisatie]. Bij dit datalek zijn uw naam, e-mailadres en woonadres gelekt. Het datalek kwam door een ransomware-aanval. Dat betekent dat criminelen uw gegevens in handen hebben. Wij kunnen niet meer bij de gegevens. De aanvallers dreigen de persoonsgegevens op internet te publiceren.

Veel slachtoffers kennen technische termen als ‘(spear)phishing’ niet. Gebruik zo min mogelijk van dit soort termen. Heeft u echt geen alternatief voor zo’n term? Leg de term dan goed uit.

Fout:

Wees de komende tijd extra alert op (spear)phishing.

Goed:

Let op! Criminelen kunnen uw contactgegevens misbruiken. Bijvoorbeeld voor oplichting.
Zij kunnen u een e-mail sturen die afkomstig lijkt van [naam van uw organisatie]. Dit heet ‘phishing’. Omdat de criminelen uw gegevens hebben, kunnen zij de e-mail heel persoonlijk maken. Daardoor lijkt de e-mail betrouwbaar. U krijgt bijvoorbeeld de vraag om geld over te maken. Of op een link te klikken. Als u dit doet, kunt u opgelicht worden.

Het is belangrijk dat slachtoffers uw waarschuwingsbericht snel openen en goed lezen. Zet daarom een alarmerende titel in de onderwerpsregel.

Fout:

Onderwerp: Informatie over uw privacy

Goed:

Onderwerp: Belangrijk: datalek met uw persoonsgegevens

3. Beschrijf duidelijk en volledig wat er is gebeurd

Vertel in het waarschuwingsbericht om wat voor datalek het gaat. Bijvoorbeeld een ransomware-aanval, phishing of een verkeerd verzonden brief. 

Is er nog onduidelijkheid over wat er is gebeurd? Geef dit dan ook aan. En vermeld wanneer u de slachtoffers meer informatie geeft. Bijvoorbeeld zodra het onderzoek naar het datalek klaar is. Geef ook aan of de gegevens in handen zijn gekomen van onbevoegden, verloren zijn of dat u niet meer bij de gegevens kunt.

In deze tekst wordt niet duidelijk gemaakt om wat voor type datalek het gaat en wat er precies is gebeurd.

Fout:

Wat is er gebeurd?
Tot onze spijt informeren wij u dat onze organisatie te maken heeft gehad met een datalek waarbij informatie van klanten van [naam organisatie] betrokken is geweest. Hierdoor zijn mogelijk klantgegevens bij derden beland die hier misbruik van zouden kunnen maken.

Goed:

Wat is er gebeurd?
Er is een datalek geweest bij [naam van uw organisatie]. Er is informatie van onze klanten gelekt. Dat komt door een ransomware-aanval. Daardoor konden wij niet meer in ons systeem. Ook dreigt de aanvaller om persoonsgegevens op internet te publiceren. We weten nog niet zeker of uw persoonsgegevens ook zijn gelekt. Dat onderzoeken we nog. U krijgt binnen [termijn] meer informatie.

4. Geef duidelijk aan welke gegevens zijn gelekt

Wees zo specifiek mogelijk over welke gegevens zijn gelekt (bijvoorbeeld: naam en adres). Noem niet alleen de categorieën (bijvoorbeeld: NAW-gegevens). Woorden als ‘bijvoorbeeld’ of ‘zoals’ kunnen verwarring opleveren bij de slachtoffers.

Zijn er verschillen in welke gegevens van mensen zijn gelekt? Breng dan zo snel mogelijk in kaart voor welke slachtoffers welke situatie geldt. En stel voor hen verschillende waarschuwingsberichten op.

Weet u niet zeker welke gegevens zijn gelekt? Geef dan aan waarom dat onduidelijk is. En wanneer u slachtoffers daar meer informatie over kunt geven.

Fout:

Welke gegevens zijn gelekt?
Mogelijk zijn er gegevens van u gelekt. Dit betreft gegevens zoals uw NAW-gegevens en contactgegevens.

Goed:

Welke gegevens zijn gelekt?
Wij weten nog niet precies welke gegevens van u zijn gelekt. Wij onderzoeken dit nog. U ontvangt binnen [termijn] meer informatie.

Waarschijnlijk zijn de volgende gegevens van u gelekt:
- naam;
- telefoonnummer;
- e-mailadres;
- burgerservicenummer (BSN).

5. Noem de waarschijnlijke gevolgen voor slachtoffers

Datalekken kunnen leiden tot misbruik van gegevens. Bijvoorbeeld met phishing. Zijn er waarschijnlijk gevolgen voor slachtoffers? Dan moet u hun vertellen welke. En hoe zij zichzelf kunnen beschermen.

Fout:

Wat betekent dit voor u?
Omdat uw contactgegevens zijn gelekt, ben u de komende tijd kwetsbaar voor phishing.

Goed:

Wat betekent dit voor u?
Criminelen kunnen uw contactgegevens misbruiken. Bijvoorbeeld voor oplichting.

Zij kunnen u een e-mail sturen die afkomstig lijkt van [naam van uw organisatie]. Dit heet ‘phishing’. Omdat de criminelen uw gegevens hebben, kunnen zij de e-mail heel persoonlijk maken. Daardoor lijkt de e-mail betrouwbaar. U krijgt bijvoorbeeld de vraag om geld over te maken. Of op een link te klikken. Als u dit doet, kunt u opgelicht worden.

Criminelen kunnen u ook bellen. De crimineel doet zich dan bijvoorbeeld voor als een bankmedewerker of een familielid. Krijgt u de vraag om geld over te maken, wachtwoorden te noemen of software te downloaden op uw computer? Doe dat niet. U kunt worden opgelicht. Check daarom eerst bij uw bank of familielid of die u echt heeft gebeld.

Geef antwoord op deze vragen:

• Is er een risico op immateriële schade? Zoals reputatieschade, of uitsluiting? Of is er een risico op lichamelijke of materiële (financiële) schade?
• Zijn de persoonsgegevens in handen van een kwaadwillende? Bijvoorbeeld een hacker? En zo ja, is er een risico op phishing of identiteitsfraude?
• Zijn de persoonsgegevens inmiddels teruggestuurd aan u of vernietigd door de partij die de gegevens onterecht heeft ontvangen?
• Zijn er contactgegevens gelekt? En zo ja, hoe kunnen criminelen die gegevens gebruiken?

Als er wachtwoorden zijn gelekt, kunnen criminelen inloggen op andere sites waar slachtoffers hetzelfde wachtwoord gebruiken. Leg uit dat het veiliger is om verschillende wachtwoorden te gebruiken. En laat mensen hun wachtwoord voor uw website of klantomgeving veranderen.

Goed:

Wat betekent dit voor u?
Criminelen kunnen inloggen op uw account. Gebruikt u op andere websites hetzelfde wachtwoord? Dan kunnen criminelen ook daarop inloggen. En bijvoorbeeld op webshops producten kopen op uw naam. Of gegevens inzien die in uw account staan.

Als er kopieën van identiteitsbewijzen zijn gelekt, is er een risico op identiteitsfraude. Leg in dat geval duidelijk uit wat identiteitsfraude is. En wat iemand kan doen.

Goed:

Wat betekent dit voor u?
Criminelen kunnen de kopie van uw identiteitsbewijs gebruiken om namens u spullen te kopen, een lening aan te vragen of een contract te ondertekenen.

Wilt u meer informatie over identiteitsfraude? Of denkt u slachtoffer te zijn van identiteitsfraude? Dan kunt u terecht bij het Centraal Meldpunt Identiteitsfraude (CMI).

6. Geef waar mogelijk een specifiek advies aan slachtoffers

Levert een datalek een onmiddellijk risico op? Geef slachtoffers dan een duidelijk en passend advies over hoe zij zichzelf kunnen beschermen. Welk advies dat is, hangt af van de situatie. Slachtoffers kunnen ook kijken bij: Slachtoffer van een datalek? Dit kunt u doen.

Fout:

Wat kunt u zelf doen?
Wees de komende tijd alert op phishing.

Wees zo duidelijk en concreet mogelijk. Een algemene waarschuwing voor phishing is niet genoeg. Vertel slachtoffers hoe zij verdachte berichten kunnen herkennen. En wat ze absoluut niet moeten doen.

Goed:

Wat kunt u zelf doen?
Let de komende tijd goed op bij het openen van links in e-mails, sms’jes en appjes. U kunt een verdachte e-mail, sms of app herkennen aan typfouten en onbekende afzenders. Controleer het telefoonnummer. Of wat er na het ‘@’-teken van een e-mailadres staat.

Krijgt u een telefoontje? Het kan zijn dat er echt een medewerker van uw bank of een ander bedrijf belt. U kunt dit controleren door te vragen naar de naam van de medewerker en het algemene telefoonnummer van het bedrijf. Geef aan dat u wilt controleren of de persoon een echte medewerker is en hang op. Check op de website van het bedrijf of het nummer klopt. Klopt het nummer? Bel dan zelf en vraag naar de medewerker die u aan de lijn had.

Geef nooit iemand uw wachtwoord of pincode.

Zijn er bij het datalek wachtwoorden gelekt? Dan moeten mensen hun wachtwoord aanpassen op elke website waar ze dit wachtwoord gebruiken.

Fout:

Wat kunt u zelf doen?
U moet uw wachtwoord op onze website aanpassen.

Goed:

Wat kunt u zelf doen?
Verander uw wachtwoord op onze website. Gebruikt u hetzelfde wachtwoord op andere websites? Verander het dan ook daar. Kies een sterk wachtwoord dat niet makkelijk te raden is. En gebruik voor ieder account een ander wachtwoord. U kunt uw wachtwoorden opslaan in een ‘wachtwoordmanager’. Dan hoeft u moeilijke of lange wachtwoorden niet allemaal uit uw hoofd te weten.

Zijn er bij het datalek volledige kopieën van identiteitsbewijzen gelekt? Dat betekent: waarbij alle gegevens zichtbaar waren, zoals het BSN en de pasfoto? En was er sprake van een cyberincident? Dan moeten slachtoffers dit aangeven bij hun gemeente, om identiteitsfraude te voorkomen.

Goed:

Wat kunt u zelf doen?
Geef bij uw gemeente aan dat er een kopie van uw identiteitsbewijs is gelekt en vraag een nieuw identiteitsbewijs aan. Zo voorkomt u misbruik van uw identiteitsgegevens.

De AP raadt aan om in het waarschuwingsbericht te verwijzen naar:

• informatie van de politie over identiteitsfraude;
• informatie van de Rijksoverheid over identiteitsfraude.

7. Beschrijf welke maatregelen uw organisatie neemt

U moet slachtoffers laten weten welke maatregelen u neemt om het datalek te dichten én om toekomstige datalekken te voorkomen.

Fout:

Welke maatregelen zijn er genomen?
Toen het datalek werd ontdekt, hebben wij maatregelen genomen om het lek te dichten en soortgelijke lekken in te toekomst te voorkomen.

Vermeld niet alleen dat er maatregelen zijn getroffen, maar ook welke maatregelen. Gaat het om technische maatregelen? Leg die in simpele en heldere taal uit. Heeft u externe partijen om advies gevraagd? Vertel dan ook wat dat advies inhoudt.

Goed:

Welke maatregelen hebben wij genomen?
Onze IT-specialisten hebben de criminelen direct uit het systeem gezet. Ook hebben wij meerfactorauthenticatie ingesteld, om ons systeem extra te beveiligen. Dit betekent dat u voortaan bij het inloggen een code krijgt via sms of e-mail. Zo weten we zeker dat u het bent die op uw account inlogt.

Uit voorzorg moet u uw wachtwoord veranderen. Ook hebben wij het datalek gemeld bij de Autoriteit Persoonsgegevens (AP).

Goed:

Welke maatregelen hebben wij genomen?
Wij hebben ons klantenbestand bijgewerkt en oude adressen verwijderd. We kunnen uw post dus niet meer per ongeluk naar uw oude adres sturen. Daarnaast hebben we contact opgenomen met de persoon die uw brief ontvangen heeft. Diegene heeft de brief vernietigd. Ook hebben wij het datalek gemeld bij de Autoriteit Persoonsgegevens (AP).

8. Noem een contactpunt waar slachtoffers terecht kunnen met vragen

Een waarschuwingsbericht kan veel vragen oproepen. Beantwoord daarom zoveel mogelijk vragen al in uw waarschuwingsbericht. En geef aan hoe slachtoffers contact kunnen opnemen met uw organisatie. Bijvoorbeeld via uw functionaris gegevensbescherming (FG).

Fout:

Heeft u nog vragen?
Mocht u onverhoopt nog vragen hebben naar aanleiding van deze e-mail, kunt u contact met ons opnemen.

Goed:

Heeft u vragen?
Neem contact met ons op via:
- telefoon: [telefoonnummer];
- e-mail: [e-mailadres];
- of chat: [link].